GDPR: att göra listan fram till 25:e maj

Du har såklart hört mycket om EU:s nya generella dataskyddsregler, GDPR, som nu äntligen träder i kraft.

Victor Engelbrecht Dohlmann, Nordenchef Veeam

Vägen dit har varit en utdragen process från starten 2012, då europeiska kommissionen föreslog en omfattande reform av 1995 års dataskyddsregler. Dessa förslag har successivt omvandlats till konkreta regelverk och nu rusar dessa mot oss i en halsbrytande takt. Efter många diskussioner, debatter och kommentarer har nu tidsfristen för företag och organisationer att införa reglerna förbrukats. Från och med den 25 maj 2018 väntar böter för dem som inte följer GDPR. Fram till dess har vi verkligen inte behövt sakna information om vad vi har att förvänta oss av de nya reglerna. Men den mängden information har nog också behövts med tanke på hur omfattande effekt

GDPR har på olika verksamheter. 

GDPR kommer att få djupgående påverkan på alla organisationer som processar och lagrar personliga data om EU-medborgare. I dagens gränslösa digitala värld innebär det att även verksamheter utanför EU påverkas. Faktum är att alla företag och organisationer som jobbar med partners i Europa dras med i GDPR-frågorna.

Lägg på minnet att böterna för att överträda GDPR är kolossala: upp till fyra procent av företagets årliga intäkter, eller 20 miljoner Euro, beroende på vilket som är högsta belopp. Så att dubbel, trippel, till och med fyrdubbla kontrollen av hur väl ditt företag är riggat för GDPR är väl värt insatsen.

Med detta sagt är det också några andra saker du bör se till att ha på plats före den slutliga nedräkningen:

Se till att alla känner till I några företag har man redan, eller ska tillsätta en särskild dataskyddsansvarig till slutspurten inför GDPR-lanseringen. Även om du skulle vara sent ute kan detta vara ganska smart. För en ”DPO” blir inte bara en nyttig expert utan också en GDPR-ambassadör som kan hjälpa hela organisationen komma med på tåget med bästa metoder och tillämpningar av GDPR. Dessutom kan denna person rekommendera rätt slags verktyg för backup, i händelse av att verksamheten utsätts för intrångsattacker.

Även för dem som inte skaffar sig en dataskyddsansvarig kan det vara bra att ha i åtanke att GDPR är en företagsövergripande fråga. Det betyder att du måste se till att alla nyckelintressenter i din organisation har en grundlig förståelse av GDPR:s betydelse, de krav som ställs, och inte minst hur det påverkar deras processer.

Gör er datarevision Vid det här laget bör alla företag veta vilken data de har tillgång till, var den är lagrad, hur och var den kom ifrån. Utöver detta behöver de veta varför de överhuvudtaget har den och hur den samlades in. För det är frågor som kan komma att ställas av tillsynsmyndigheterna för GDPR.

Om ditt företag saknar den här kunskapen är det verkligen dags att raska på – gör er revision nu! I maj behöver du kunna både försvara och förklara det lagliga i hur ert företag hanterar personliga data. Myndigheterna kommer till exempel inte att se mellan fingrarna på dem som inte kan visa hur data skyddas mot intrång. Det tåget har gått.

Granska rättigheter för personlig integritet En av de stora förändringarna med GDPR är att medborgarnas rättigheter stärks när det gäller deras personliga data. För att sätta detta i ett sammanhang: de senaste tre åren har Google efter ett beslut i EU-domstolen mottagit 654 000 förfrågningar om att radera 2,4 miljoner sökresultat – och det antalet fortsätter att öka i takt med att människor förstår mer om sin ”rätt att bli glömd”. Företaget har hittills raderat en dryg miljon sådana länkar, eller 43 procent av dem.

Förutom att bli glömd så kommer människor också att vilja få tillgång till sin data, på ett sätt som de själva kan förstå. För att undvika att denna rättighet äter upp mycket tid i din organisation gör du klokt i att hitta ett sätt att tagga varje datapunkt så att du kan komma åt den vid behov. Just detta är en liten förändring av datahanteringen som kan spara mycket tid och energi.

Ha en smart plan för dataintrång Enligt GDPR måste dataintrång rapporteras inom 72 t’

mmar efter upptäckt. Det är inte lång tid, särskilt som timmarna efter ett intrång brukar präglas av frenesi inom organisationen som drabbats, med olika undersökningar och brandsläckningsåtgärder.

Med tanke på detta är det oerhört viktigt att du har rätt planer för att upptäcka, rapportera och åtgärda dataintrång på.

Här kan kompletterande mjukvara för rapportering bidra. Det är verktyg som ökar transparensen för datalagring och som spar tid vid rapportering till myndigheterna. Om malware har gjort data oåtkomlig så kan samma slags mjukvara återställa denna data.

Slå dig inte till ro – det är nu det börjar på allvar Planering är bra, men lika viktigt är att lämna utrymme för kontinuerlig förbättring. Särskilt när det gäller tillgängligheten, kvaliteten och säkerheten för den data som snabbt håller på att bli den högst värderade tillgången i vår tid. Med tanke på den snabba utveckling som präglar vår värld kommer det digitala landskapet sannolikt att förändras mycket närmaste åren, och snabbare än under det föregående decenniet. Så ditt och alla andras hårda arbete för att klara GDPR slutar inte alls i maj. Det är då det verkligen börjar.

Av: Victor Engelbrecht Dohlmann, Nordenchef Veeam